Vous êtes sur la page 1sur 11

Profil de protection dun automate programmable

industriel
Version 1.1 court-terme
GTCSI
13 juillet 2015

Avant-propos
Dans toute la suite de ce document, lacronyme ToE (Target of Evaluation) dsigne le
composant qui est lobjet de lvaluation.
Les passages en rouge sont ceux qui diffrent de la version de la cible moyen terme.

Descriptif du produit

1.1

Descriptif gnral du produit

Un automate programmable industriel est un quipement qui permet de raliser, de faon


continue et sans intervention humaine, la commande de processus industriels (machine ou
processus continu). En fonction de ses donnes dentres, reues des capteurs, lautomate
envoie des ordres vers ses sorties, les actionneurs.
En plus des modles standard, il existe deux types dautomates programmables :
les systmes redondants, pour augmenter la disponibilit des installations, et
les systmes de scurit, utiliss pour assurer la protection des biens et des personnes
(scurit fonctionnelle). Lensemble relve de la sret de fonctionnement.
Lautomate programmable industriel doit pouvoir fonctionner dans un environnement hostile.
En particulier, il doit pouvoir fonctionner en prsence dhumidit ou de poussire ou avec des
tempratures inhabituelles pour des quipements informatiques.

1.2

Descriptif des fonctions du produit

La ToE comprend les fonctions suivantes :


Excution dun programme automate : La ToE excute un programme fourni par lutilisateur. Ce programme lit les entres de la ToE, effectue son traitement et met jour ses
sorties.
Gestion des ntres/sorties : La ToE est capable de communiquer pour lire ou crire
sur des entres/sorties dportes ou non. Ces entres/sorties peuvent tre numriques,
analogiques ou de type tout ou rien . Elles permettent la ToE de contrler et de
commander le processus industriel.
Communication avec la supervision : La ToE peut communiquer avec la supervision
(SCADA) pour recevoir des ordres et remonter des informations sur le processus industriel.
Fonctions dadministration : La ToE dispose de fonctions permettant de configurer
ou, dans certains cas, de programmer lensemble des autres fonctionnalits. Diffrentes
interfaces dadministration sont envisageables :
des clients lourds (appels galement, en fonction du contexte, consoles dadministration, de programmation ou de configuration),
des clients lgers comme des clients web,
13 juillet 2015

Version 1.1 court-terme

Profil de protection dun automate programmable industriel

des supports amovibles (cartes SD, cls USB).


Journalisation locale dvnements : La ToE permet de dfinir une politique de journalisation locale dvnements notamment de scurit et dadministration.
Journalisation distante dvnements : La ToE permet de dfinir une politique de
journalisation distante dvnements notamment de scurit et dadministration.

1.3

Descriptif de lutilisation du produit

Un automate programmable industriel peut sinscrire dans un grand nombre darchitectures.


Mais un schma directeur ressort. Lautomate est reli ses entres-sorties et son interface
homme machine locale (pupitre oprateur) via une mme interface de communication, sur le
rseau de terrain. Les changes vers la supervision (IHM SCADA) se font au travers dune
interface de communication ddie sur le rseau de supervision.
Ladministration de lautomate programmable industriel se fait avec une station dingnierie.
Les modifications du firmware et du programme utilisateur peuvent tre gnralement envoyes
sur lautomate par le rseau, par un lien srie ou laide de supports amovibles (cartes SD ou
cls USB par exemple).
Dans le cas dune administration par le rseau, il est recommand dutiliser un rseau spar
physiquement ou, au minimum, logiquement. En pratique, une station dingnierie est souvent
prsente sur le rseau de supervision. Il est recommand que celle-ci ne soit pas branche en
permanence mais uniquement en cas de besoin.
Cette architecture basique est reprsente sur la figure 1.
Station
d'ingnierie
SCADA

Pupitre
oprateur

Rseau de
supervision
automate

Rseau de terrain

Entres/sorties

F IGURE 1 Architecture type dun rseau pour un automate programmable industriel

1.4

Descriptif des diffrents utilisateurs

La liste des types dutilisateurs susceptibles dinteragir avec la ToE est la suivante :
Oprateur dexploitation : Cet utilisateur na accs aux informations contenues dans la
ToE quen lecture simple et ne peut rien modifier.
Technicien : Cet utilisateur a les mmes droits que lutilisateur prcdent mais il peut
galement modifier certaines variables dans la ToE.
Automaticien/administrateur : Cet utilisateur a tous les droits et peut en particulier
modifier le programme automate et mettre jour le firmware de la ToE. Dans certains
contextes, le terme programmeur est utilis pour dsigner ce type dutilisateur.

13 juillet 2015

Version 1.1 court-terme

Profil de protection dun automate programmable industriel

Note : Un utilisateur nest pas forcment une personne physique et peut tre un quipement
ou un programme tiers. Par ailleurs, une mme personne physique peut tre titulaire de plusieurs
comptes avec des profils dutilisateur diffrents.

1.5

Hypothses sur lenvironnement

Les hypothses suivantes sont formules sur lenvironnement et les conditions dutilisation
de la ToE :
Consultation des journaux : Il est considr que les administrateurs consultent rgulirement les journaux locaux ou dports gnrs par lquipement.
Administrateurs : Les administrateurs de la ToE sont comptents, forms et non hostiles.
Local : La ToE doit se trouver dans un local scuris dont laccs est restreint des
personnes autorises considres comme non hostiles. En particulier, lattaquant naura
pas accs aux ports physiques de la ToE.
En revanche, des quipements identiques la ToE tant disponibles dans le commerce,
lattaquant peut acheter un tel quipement en vue dy rechercher des vulnrabilits par
tous les moyens sa disposition pour attaquer la ToE.
Activation des journaux : Les fonctions de journalisation locale et distante sont supposes fonctionnelles. Les journaux locaux sont supposs intgres et authentiques.
Services non valus dsactivs par dfaut : Lensemble des services prsents dans
la ToE mais hors de la cible de scurit sont dsactivs dans la configuration par dfaut
(parfois appele configuration usine).
Documentation de securit : La ToE est fournie avec une documentation dtaille sur
lutilisation scurise de lquipement. En particulier, lensemble des secrets de connexion
prsents par dfaut est list pour permettre leur personnalisation.
Lensemble des prconisations issues de cette documentation ont t appliques en vue
de lvaluation.

Description des biens sensibles protger

2.1

Biens sensibles de lenvironnement

Les biens sensibles de lenvironnement sont les suivants :


Commande du procd industriel : La ToE participe la commande et au contrle dun
processus industriel en lisant des entres et en envoyant des ordres aux actionneurs. Ces
actions doivent tre protges en disponibilit et en intgrit.
Flux vers la station dingnierie : Les flux entre la ToE et la station dingnierie doivent
tre protgs en intgrit, en confidentialit et en authenticit.
Les besoins de scurit pour les biens sensibles de lenvironnement sont les suivants :
Bien
Commande du
procd industriel
Flux vers la station
dingnierie

Disponibilit
X

X : obligatoire

2.2

Confidentialit

Intgrit
X

Authenticit

(X)

(X) : optionnel

Biens sensibles de la ToE

Les biens sensibles de la ToE sont les suivants :


Firmware : Afin dassurer correctement ses fonctions, le firmware de la ToE doit tre
intgre et authentique.

13 juillet 2015

Version 1.1 court-terme

Profil de protection dun automate programmable industriel

Programme utilisateur : La ToE excute un programme crit et charg par lutilisateur


et dcrivant son fonctionnement. Il doit tre protg en confidentialit 1 , en intgrit et en
authenticit.
Configuration : La configuration de la ToE doit tre confidentielle et intgre. Lattaquant
ne doit pas pouvoir dcouvrir cette configuration autrement que par lobservation de
lactivit de la ToE.
Mode de fonctionnement de la ToE : Le mode de fonctionnement de la ToE (run ou
stop par exemple) doit tre protg en intgrit et authenticit.
Mcanisme dauthentification des utilisateurs : Ce mcanisme peut sappuyer sur
une base de donnes locale ou sur un connecteur avec un annuaire distant. Dans les
deux cas, la ToE doit protger lintgrit et lauthenticit du mcanisme 2 .
Secrets de connexion des utilisateurs : Il peut sagir de mots de passe, de certificats,
etc. Ils peuvent tre contenus dans la ToE ou tre changs avec un serveur distant.
Dans tous les cas, la ToE doit garantir lintgrit et la confidentialit de ces identifiants.
Politique de gestion des droits : Cette politique peut tre contenue en local sur la ToE
ou tre obtenue partir dun annuaire distant. Dans les deux cas, la ToE doit garantir
lintgrit de cette politique de gestion des droits.
Les besoins de scurit pour les biens sensibles de la ToE sont les suivants :
Bien
Firmware
Programme
utilisateur
Configuration
Mode de
fonctionnement de
la ToE
Mcanisme
dauthentification
des utilisateurs
Secrets de
connexion des
utilisateurs
Politique de gestion
des droits

Disponibilit

(X)
(X)

Intgrit
X
X

Authenticit
X
X

X
X

X
X : obligatoire

Confidentialit

(X) : optionnel

Description des menaces

3.1

Description des agents menaants

Lagent menaant suivant a t retenu :


Attaquant sur le rseau de supervision : Lattaquant a la matrise dun quipement sur
le rseau de supervision de lautomate.

3.2

Menaces retenues

Les menaces suivantes ont t retenues :


Dni de service : Lattaquant parvient effectuer un dni de service sur la ToE en
effectuant une action imprvue ou en exploitant une vulnrabilit (envoi dune requte
1. La confidentialit nest pas primordiale pour protger un systme industriel, il sagit dune mesure de dfense en
profondeur. Cette proprit peut galement tre recherche des fins de protection du secret industriel.
2. Tous les mcanismes dauthentification prsents dans la ToE ne doivent pas ncessairement tre prsents dans la
cible de scurit. Nanmoins, il doit y en avoir au moins un et ceux qui ne sont pas inclus doivent tre dsactivs par
dfaut.

13 juillet 2015

Version 1.1 court-terme

Profil de protection dun automate programmable industriel

malforme, utilisation dun fichier de configuration corrompu. . .). Ce dni de service peut
concerner toute la ToE ou seulement certaines de ses fonctions.
Corruption du firmware : Lattaquant parvient injecter et faire excuter un firmware
corrompu sur la ToE. Linjection de code peut tre temporaire ou permanente et ceci inclut
donc toute excution de code non prvue ou non autorise.
Lattaquant peut galement russir substituer une mise jour corrompue une mise
jour lgitime. Un utilisateur pourra alors tenter dinstaller cette mise jour dans la ToE par
des moyens lgitimes.
Enfin, lattaquant peut galement tenter dinstaller une version lgitime du firmware sans
en avoir le droit.
Corruption du mode de fonctionnement : Lattaquant parvient modifier le mode de
fonctionnement de la ToE sans en avoir le droit (envoi dune commande stop par exemple) ;
Compromission du programme utilisateur : Lattaquant parvient rcuprer tout ou
partie de la configuration de la ToE par dautres moyens que lobservation de lactivit de
la ToE 3 .
Corruption du programme utilisateur : Lattaquant parvient modifier, de faon temporaire ou permanente, le programme utilisateur.
Corruption de la configuration : Lattaquant parvient modifier, de faon temporaire ou
permanente, la configuration de la ToE.
Compromission de la configuration : Lattaquant parvient rcuprer tout ou partie de
la configuration de la ToE de manire illgitime.
Vol didentifiants : Lattaquant parvient rcuprer les secrets de connexion dun utilisateur.
Contournement de lauthentification : Lattaquant parvient sauthentifier sans avoir
les secrets de connexion.
Contournement de la politique de droits : Lattaquant parvient obtenir des droits qui
ne lui sont pas normalement dvolus.
Altration des flux : Lattaquant parvient modifier des changes entre la ToE et un
composant externe sans que cela ne soit dtect.
Compromission des flux : Pour les flux requrant la confidentialit, lattaquant parvient
rcuprer des informations en interceptant des changes entre la ToE et un composant
externe.

Objectifs de scurit
Les objectifs de scurit retenus sont les suivants :
Gestion des entres malformes : La ToE a t dveloppe de manire grer correctement les entres malformes, en particulier en provenance du rseau.
Stockage scuris des secrets : Les secrets de connexion des utilisateurs sont stocks
de manire scurise sur la ToE et la compromission dun fichier ne permet pas de les
rcuprer.
Authentification scurise sur linterface dadministration : Les jetons de session
sont protgs contre le vol et contre le rejeu. Les jetons de session ont une dure de
vie limite. Lidentit du compte utilis est vrifie systmatiquement avant toute action
privilgie.
Politique de droits : La politique de gestion des droits est gre de manire extrmement
stricte. Limplmentation de cette politique permet en particulier de garantir lauthenticit
des oprations critiques, cest--dire pouvant porter atteinte aux biens sensibles identifis.
Signature du firmware : chaque installation dun nouveau firmware, lintgrit et
lauthenticit de celui-ci est vrifie.
Intgrit et confidentialit de la configuration : La politique de gestion des utilisateurs
ne permet une personne non autorise, ni de consulter, ni de modifier tout ou partie de
la configuration de la ToE.

3. Cette menace nest considre que lorsque la confidentialit du programme utilisateur est un besoin de scurit
identifi.

13 juillet 2015

Version 1.1 court-terme

Profil de protection dun automate programmable industriel

Authenticit, intgrit du programme utilisateur : La ToE doit pouvoir protger le


programme utilisateur de faon ce que seuls les utilisateurs autoriss puissent modifier
celui-ci.
Confidentialit du programme utilisateur : La ToE assure la confidentialit du programme utilisateur de telle sorte que seuls les utilisateurs autoriss y aient accs.
Authenticit et intgrit des commandes du mode de fonctionnement : La ToE doit
garantir que le mode de fonctionnement ne pourra tre modifi que par des personnels
autoriss et donc authentifis.
Communications scurises : La ToE permet lusage de communications scurises,
protges en intgrit, en authenticit et, ventuellement, en confidentialit avec des
composants externes.

13 juillet 2015

Version 1.1 court-terme

Dni de service
Version 1.1 court-terme

Corruption du firmware

pro-

Corruption du programme utilisateur

(C)

IA

Corruption de la configuration

Compromission de la configuration

(C)

Vol didentifiants
Contournement de lauthentification
7

D : Disponibilit, I : Intgrit, C : Confidentialit, A : Authenticit

CI
IA

Politique de gestion des droits

de
des
Secrets
connexion
utilisateurs

Mcanisme dauthentification des


utilisateurs

IA

Corruption du mode de fonctionnement


Compromission
du
gramme utilisateur

Mode de fonctionnement de la ToE

Configuration

utiliProgramme
sateur

Firmware

Flux vers la station dingnierie

Profil de protection dun automate programmable industriel

Commande
du
procd
industriel

13 juillet 2015

A Couverture des biens par les menaces

Version 1.1 court-terme


I

IA

Compromission des flux


(C)

D : Disponibilit, I : Intgrit, C : Confidentialit, A : Authenticit

utili-

de
des
Politique de gestion des droits

Secrets
connexion
utilisateurs

Mcanisme dauthentification des


utilisateurs

Mode de fonctionnement de la ToE

Configuration

Programme
sateur

Profil de protection dun automate programmable industriel

Altration des flux

Firmware

Flux vers la station dingnierie

Commande
du
procd
industriel

13 juillet 2015
Contournement de la politique de droits

Gestion des entres malformes


Version 1.1 court-terme

Stockage scuris des secrets


X

Politique de droits

X
X

Authenticit, intgrit du programme utilisateur

Compromission
des flux

des
Altration
flux

Contournement
de la politique de
droits

Intgrit et confidentialit de
la configuration

Confidentialit du programme
utilisateur

Contournement
de lauthentification

Authentification scurise sur


linterface dadministration

Signature du firmware

Vol didentifiants

Compromission
de la configuration

Corruption de la
configuration

du
utiliCorruption
programme
sateur

Compromission
du
programme
utilisateur

Corruption
du
mode de fonctionnement

du
Corruption
firmware

Profil de protection dun automate programmable industriel

Dni de service

13 juillet 2015

B Couverture des menaces par les objectifs de scurit

du
utili-

des

Contournement
de la politique de
droits

Contournement
de lauthentification

Vol didentifiants

Compromission
de la configuration

Corruption de la
configuration

Corruption
programme
sateur

Compromission
du
programme
utilisateur

Corruption
du
mode de fonctionnement

du

X
X

Version 1.1 court-terme


Profil de protection dun automate programmable industriel

Compromission
des flux

Altration
flux

Communications scurises
Corruption
firmware

Dni de service

13 juillet 2015
Authenticit et intgrit des
commandes du mode de fonctionnement

10

Profil de protection dun automate programmable industriel

Liste des contributeurs

Ce profil de protection a t rdig dans le cadre des travaux du groupe de travail sur la
cyberscurit des systmes industriels (GTCSI) sous lgide de lANSSI.
Les socits et organismes suivants ont apport leur concours la rdaction de ce document :
Amossys
ARC Informatique
Belden
DGA/MI
Gimelec
Oppida
Phoenix Contact
RATP
Schneider Electric
Siemens
Sogeti
Stormshield
Thales

13 juillet 2015

Version 1.1 court-terme

11